Diploma and Master Theses (authored and supervised):
D. Pinter:
"Phishing und die Kunst der Täuschung: Eine empirische Untersuchung zum Thema Authentizität von Internetseiten";
Supervisor: T. Grechenig, T. Költringer;
183/1,
2007.
English abstract:
Phishing takes advantage of both technical and human weak points in order to mislead the victim as to the reliability of the received email message or contents of a web page. A Phishing attack consists typically of two components: a respectable looking email and a fraudulent web page, which both imitate the corporate design of the alleged enterprise. If the victim divulges his personal user data, the aggressor can abuse this identity to financially benefit himself. The principal purpose of the empirical part of this work is the collection of characteristics with which users, dependent on their experience in the Internet, examine a web page for itīs authenticity. For this purpose an experiment with 26 participants, seven legal web pages and 13 self-provided Phishing sites, was conducted.
Both the less experienced users and the experienced users, on average, used the same number of identified criteria in order to investigate the authenticity of a site. The two groups differed, however, in the specific criteria used. Less experienced users paid attention primarily to contents of a web page and did not consider browser specific security indicators. Both the address bar and the status bar of a browser played no or only a small role with this group of users in its identification judgement of the authenticity of a site. With the experienced users, however, the indicated information of a browser, for example the domain name in the address bar and the safety symbol in the status bar, played a relevant role in its evaluation. Attempted frauds with the domain name and the safety symbol were rarely noticed, however, by both groups of participants. This brings the conclusion that anti-phishing solutions should not only refer peripherally and passively to a fraud, but also actively intervene in the user action. The input of user data on the site should be prevented and one, also for a layman, easily understandable explanation be presented. Further, it is not sufficient to refer the user to a potential fraud, but possible steps and solutions must additionally be pointed out.
German abstract:
Phishing nutzt sowohl die technischen als auch die menschlichen Schwachstellen aus, um dem Opfer die Glaubwürdigkeit der erhaltenen Email-Nachricht oder den Inhalt einer aufgerufenen Internetseite vorzutäuschen. Ein Phishing-Angriff besteht klassischerweise aus zwei Komponenten: einer seriös wirkenden Email und einer betrügerischen Internetseite, welche beide das Corporate Design des vermeintlichen Unternehmens imitieren. Gibt das Opfer seine persönlichen Authentifizierungsdaten preis, kann der Angreifer daraufhin dessen Identität annehmen und sich finanziell bereichern. Das Hauptziel des empirischen Teils dieser Arbeit lag in der Erhebung von Merkmalen, an denen Nutzer, abhängig von ihrer Erfahrung im Internet, eine Webseite auf deren Authentizität prüfen. Zu diesem Zweck wurde ein Experiment mit 26 Teilnehmern, sieben legalen Internetseiten und 13 selbst erstellten Phishing-Seiten durchgeführt.
Sowohl die weniger versierten Nutzer als auch die versierten Nutzer verwendeten im Durchschnitt die gleiche Anzahl an erhobenen Merkmalen, um die Echtheit einer Seite zu eruieren. Die beiden Gruppen unterschieden sich jedoch in der Art der verwendeten Merkmale. Weniger versierte Nutzer achteten primär auf die Inhalte einer Internetseite und berücksichtigten Browser spezifische Sicherheitsindikatoren nicht. Sowohl die Adressleiste als auch die Statusleiste eines Browsers spielten bei dieser Nutzergruppe keine oder nur eine geringe Rolle in ihrer Urteilsfindung über die Authentizität einer Seite. Bei den versierten Nutzern hingegen spielten die angezeigten Informationen eines Browsers, wie beispielsweise der Domainname in der Adressleiste und das Sicherheits-Symbol in der Statusleiste, eine relevante Rolle in ihrer Beurteilung. Betrugsversuche mit dem Domainnamen und dem Sicherheits-Symbol wurden jedoch von beiden Nutzergruppen selten bemerkt. Dies lässt den Schluss zu, dass Anti-Phishing Lösungen nicht nur peripher und passiv auf einen Betrug hinweisen, sondern aktiv in die Nutzerhandlung eingreifen sollten. Die Eingabe von Nutzerdaten auf der Seite sollte unterbunden und eine, auch für Laien leicht verständliche, Erklärung präsentiert werden. Weiters ist es nicht ausreichend, den Nutzer auf einen potentiellen Betrug hinzuweisen, sondern es müssen zusätzlich mögliche Schritte und Lösungen aufgezeigt werden.
Keywords:
Phishing, Security, Usability, Glaubwürdigkeit, Authentizität von Webseiten
Created from the Publication Database of the Vienna University of Technology.